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hack-er (hakV)r) 

“Persona che si diverte ad esplorare i dettagli dei sistemi di programmazione 
e come espandere le loro capacità, a differenza di molti utenti, 
che preferiscono imparare solamente il minimo necessario.”’ 
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iamo DIVERSI 


ono s,ato a Mllano alla presentazione dell'ultimo libro di Donald Norman. Si chiama E- 
motional Design e viene pubblicato in edizione italiana da Apogeo. Chi è Donald Nor¬ 
man? Che domande. Un hacker. Come, un hacker? Ma dove è entrato? Che siti ha de¬ 
fecaste? In che linguaggio scrive i suoi programmi? 


No. Donald Norman è un hacker. Solo che lui. invece di occuparsi di computer o di reti, si 
occupa di come si progettano le cose (anche i computer). Il suo primo libro si chiamava, in ita¬ 
liano. La caffettiera del masochista. Qualcuno ricorderà la copertina. Una teiera con il manico 
messo dalla stessa parte del beccuccio. Impossibile versare il tè senza rovesciarselo addosso. 
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Chi progettasse una teiera del genere sarebbe giudicato imbecille. Ma nella tecnologia a- 
giscono indisturbati centinaia, migliaia di imbecilli che progettano e 
programmano sistemi imbecilli come loro. Sono quelli che han- , 

no inventato il messaggio di errore Tastiera non trovata. Pre- jf 

mere FI per continuare. Chi ha stabilito che bisogna riawia- f 
re il computer per cambiare la nsoluzione dello schermo è un dMÉLfe /. . 

imbecille. Chi fa i portatili con la trackpad spostata a sinistra U* 1 
è un imbecille. A meno che volesse vendere computer solo A ■. 

ai mancini. Mettere la trackpad in mezzo è possibile. Un sac- i + 
co di portatili ce l'ha in mezzo. Chi la vende spostata a sinistra -w>A WW 1 

è imbecille quasi come chi la compra e poi si lamenta che gli fIL r L 

fa male il polso. ^ f 




Norman è un hacker perché smaschera l'imbecillità dei proget- . òl A * * "f 
fisti e insegna a tutti come devono essere fatte le cose. Che devono ’ 
essere al nostro servizio e non il contrario. Ecco perché è hacker. 

Quando li installano in casa il contatore digitale, che non ti lascia usare gli 
stessi elettrodomestici che usai prima perche è male programmato, lì serve un 
hacker. Quando si crea un browser bacato come Explorer, gli hacker scrivono Firefox che è 
migliore. Fanno la stessa cosa che fa Norman con le teiere, o i videoregistratori. 

Alla conferenza stampa di Norman c’ero anch'io. Avevo una maglietta con la scritta Hacker 
Journal. M, ha visto un altro ragazzo. "Complimenti per la maglietta... ma tu scrivi su Hacker 
Journal", mi ha chiesto. 


Pubblicazione quattordicinale registrata 
al Tribunale di Milano 
il 27/10/03 con il numero 601 

Gli articoli contenuti in Hacker Journal hanno scopo 
prettamente didattico e divulgativo. L editore declina 
ogni responsabilità' circa l'uso improprio delle 
tecniche che venyono descritte al suo interno. L invio 
di immagini ne autorizza implicitamente la 
pubbllcazizone gratuita su qualsiasi pubblicazione 
anche non della 4ever S r i 

Copyright 4evor S.r.l. 
Tutti i contenuti sono Open Source per l'uso sul 
Web Sono riservati e protetti da Copyright per la 
stampa per evitare che qualche concorrente ci 
freghi il succo delle nostre menti per farci 
del business. 


Ho sorriso. "No", ho esposto, "ma conosco quelli che lo fanno..." 

A fare Hacker Journal siamo tutti noi. che scriviamo, che leggiamo, che ascoltiamo. Quel¬ 
li diversi. Quelli curiosi. Con la voglia di imparare. Hacker. 

(heguilty@hackerjoumal. it 



CASELLE 


Diteci cosa ne pensate di HJ, siamo tutti raggiungibili via e-mail, tramite letteraTmessT 
a cavallo... Vogliamo sapere se siete contenti, critici, incazzati o qualunque altra cosa! 
Appena possiamo rispondiamo a tutti, scrivete! 


rprimirnsl it 
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D alla Russia giungono voci 
governative che auspicano la 
censura di Internet. La libertà 
che abbiamo è davvero così 
scontata? Si comincia il 15 novembre, 
con Andrey Fursenko, Ministro per l’I¬ 
struzione e la Scienza della Federazio¬ 
ne Russa. Fursenko interviene duran¬ 
te il Forum scientifico mondiale di Kyo¬ 
to e sostiene di volere il controllo sta¬ 
tale di Internet nel suo Paese. 

Si prosegue con Sergei Lavrov, Mini¬ 
stro degli Esteri del gabinetto di Putin, il 
quale secondo l’agenzia di stampa Novo- 
sti definisce inaccettabile che i siti Inter¬ 
net non possano essere controllati. 


nel caso specifico limitando pesante¬ 
mente il raggio d’azione della versione 
cinese del più noto motore di ricerca al 
mondo. L’alternativa? Restare fuori. 
Dopotutto anche quello cinese è un 
mercato e in numeri in ballo, in un futu¬ 
ro, sono belli grossi. Nel Medio Orien¬ 
te, dall'Iran in poi, sono numerose le 
nazioni dove la Rete è fortemente rego¬ 
lamentata, censurata oppure punita al 
punto che i pochi cybercafè esistenti 
sono sempre sul filo della chiusura 
d'autorità. In Vietnam il regime si è 
aperto al libero mercato, ma Internet è 
sempre ostacolata in tutti i modi. Non 
parliamo di Paesi come Corea del 
Nord o Cuba. ^ 

« 


sono tutte le istruzioni per partecipare 
alla campagna Blue Ribbon della Electronic 
Frontier Foundation. Un nastro blu da met¬ 
tere nei nostri siti per fare sapere che siamo 
a favore della libertà di parola e di informa¬ 
zione. E come potrebbe essere diversamen¬ 
te, se siamo hacker? 

<BR /><DIV ALIGN="CENTER"> 
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- ? Viveva a Shan- Ay ■ 
ghai, ma ha dovuto trasferirsi negli Stati Uniti, dopo ave¬ 
re scontato un anno e mezzo di galera nelle prigioni della ^ 
Cina. La sua colpa? Avere passato indirizzi email “proibiti" a^^fc- 
una rivista online dissidente. ' ' IMT 

Come lui ce ne sono migliaia e forse più. Non dimentichia- TT A 
I mocene. ■ 



Questa e la stretta attualità. Ma da 
tempo ci sono nel mondo situazioni cro¬ 
niche di censura o limitazione pesante 
di Internet. 

A Singapore vige uno stretto control¬ 
lo della Rete e vengono applicate san¬ 
zioni molto severe nei confronti di chi 
sgarra. In Cina l’accesso viene enor¬ 
memente limitato. Su oltre un miliardo 
di persone meno di un decimo ha il col- 
legamento. La consultazione di siti proi¬ 
biti è punita dalla legge e comunque il 
governo fa del suo meglio per bloccare 
al confine i siti che reputa pericolosi. 
Colossi come Google hanno dovuto 
prendere la strada del compromesso, 


A 


Per paradosso, 
sono proprio le 
nazioni più severe nei confronti di 
Internet quelle da cui provengono con¬ 
tenuti Web su cui più di una persona 
ragionevole avrebbe qualcosa da obiet¬ 
tare. In Russia risiede una quantità abnor¬ 
me di siti dedicati alla pedopornografia e 
in generale alla pornografia minorile. Sono 
cinesi moltissimi siti di duplicazione abu¬ 
siva di software (e qui non si parla di 
warez, ma di vera e propria pirateria com¬ 
merciale). In Medio Oriente abbondano i 
siti che appoggiano il terrorismo, quando 
non pubblicano video e fotografie di deca¬ 
pitazioni ed esecuzioni varie. 


Quasi quasi, a pensarci, in Occiden¬ 
te abbiamo i nostri problemi con i con¬ 
tenuti Internet. Ma per una pagina por¬ 
nografica o di odio razziale ne abbia¬ 
mo numerose altre, valide, istruttive e 
interessanti in tutti i campi. 

Non sarà che il modo migliore per 
controllare Internet è lasciarla libera, 

esattamente come il telefono o il fax, e 
lasciare che le persone normali e sensa¬ 
te mettano in minoranza pervertiti, assas¬ 
sini e truffatori, come è normale? Cam¬ 
minando per la strada possiamo incontra¬ 
re una persona cattiva. Ma ce ne sono 
centinaia buone. Internet non è diversa. 

Barg thè Gnoll 
gnoll@hackerjaurnal.it 















PENTIUM OLTRE 

I 6 GHZ! 


A 


bbiamo 

già 


parlato de! 
raffredda¬ 
mento di un 
Pentium 4 
con l'azoto 
lìquido, per 
cercare 



nuove strade all'overclocking. Ma la sfida 
non è finita: un gruppo tedesco è riuscito a 
far girare un Pentium 4 alla bellezza di 6 fi 
Glz raffreddandolo con un sistema a tre sta¬ 
di che utilizza gas non nocivi. Pino a prova 
contraria lo si può incoronare come il siste¬ 
ma migliore finora costruito. Comp/imenfo- 
ni! Tutte le info e le foto all'indi tizzo: 
www.lardwareluxx.de 



c 

c 
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E australiano e dal suo paese spediva a 
utenti in tutto il mondo (chi non l’ha mai 
ricevuta alzi la mano) un'email di un impro¬ 
babile personaggio nigeriano che chiedeva di 
trasferire del denaro su un conto europeo, 
promettendo ricompense da favola. Natural¬ 
mente, prima, riusciva con un complicato rag¬ 
giro a farsi versare notevoli quantità di dena¬ 
ro da quelli che ci cascavano. Così ha raggra¬ 
nellato nel frattempo 3 milioni di euro, ma è 
stato beccato, imprigionato e finalmente non 
potrà fare danno per i prossimi cinque anni. 
Morale: qualunque email riceviate che non sia 


ADSL A 


12 um 


DA TfSCA'Lf? 


UscaTTTb^aoband 


Benvenuto nel mondo della SupetVeloctta! 



Q uasi 150 euro al mese, maTiscali promette una Adsl a 12 Mbps che 
diventerebbe la più veloce d’Italia. 

Peccato che inserendo qualunque numero di telefono di tante zone d’Italia diver¬ 
se. anche di grandi città, siamo stati riportati sempre alla pagina dei 640 Kbps 
o a una pagina che ci avverte che la zona non è coperta (da cosa, da Adsl? 
Ma se già l’abbiamo!...). Con un messaggio che promette di tenerci informati, 
compilando un apposito form, se e quando saremo raggiunti dalla nuova linea. 
Probabilmente, per ora. un metodo per sapere se c’è un reale interesse per 
un'offerta di alte prestazioni, ma anche di costo elevatissimo. Sarebbe utile 
conoscere anche la banda garantita, dovendo spendere non pochi soldi al mese. 


IL PRIMO GIORNO DI HALO-2 

V endite per 100 milioni di dollari il 
primo giorno di Halo-2, il nuovissimo 
titolo di Microsoft per X-Box. Nella foto, la 
folla in attesa fin dalla notte precedente 
in Times Square, a New York, l’8 novem¬ 
bre 2004. 



della vostra fidanzata, buttatela Soprattutto 
se vi chiede soldi. 


NUOVO WORM 


PER EXPLORER 


S frutta la vulnerabilità di IFRAME, all'In¬ 
terno di Microsoft Explorer. Si chiama 
W32/Bofra ed esiste in tre varianti: A. B e C. 
Tutte e tre si beccano seguendo le istruzioni 
di una falsa comunicazione che sembra arri¬ 
vare da PayPal, ma ci inganna chiedendoci un 
semplice click su un link sconosciuto. Da lì 
arriva sui nostro pc un bel worm che si dif¬ 
fonde replicandosi a tutti gli indirizzi di email 
della nostra rubrica di Outlook. Insomma, l'en¬ 



nesimo problema per cni usa il sistema ope¬ 
rativo Microsoft. N ente di nuovo sotto il sole, 
ma sempre pericoloso. 


Il PIÙ VELOCE 


S e stiamo pensando di raddoppiare il 
nostro Pentium per avere una macchina 
più veloce, non scoraggia¬ 
moci. Siamo sulla buona 
strada per raggiungere i 16 
mila processori che Ibm ha 
messo in fila per costruire 
il più veloce computer del 
mondo. E' capace di 70 mila 
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MOZILLA CONTRO EXPLORER MEMORIZZA LA SCRITTORA 



L o applichiamo in cima a un blocco di 
fogli, come una pinza. Lui ci investe di un 
fascio di raggi infrarossi e capisce dove e cosa 
stiamo scrivendo. Traduce in Ascii e il gioco 
è fatto: abbiamo digitalizzato la scrittura 
manuale. Beh, forse non sono tutte rose e fio¬ 
ri, anzi numeri e lettere, ma la sostanza è que¬ 


sta. Provare 
www.nexconcepts.com 


guardare 


E disponibile la versione 1.0 di Firefox, il 
browser Mozilla che sfida a tutto campo 
la pesantezza di Microsoft Explorer. Più velo¬ 
ce nella costruzione delle pagine, inattaccabi¬ 
le perché senza vistose falle alla sicurezza, più 
leggero perfino di Opera. In soli 4,5 Mbyte 
sono riusciti a comprimere tutte le funziona¬ 
lità che si vorrebbero da un browser. Pecca¬ 
to che in queste ore sia sempre più difficile 
scaricarlo dal sito: la corsa al download sta 
mettendo a dura prova perfino i server di 
Mozilla Foundation, all'indirizzo 
www.mozilla.org. 


MOTORI DI RICm PIO P2P 



\ Ila fai ria rii lullr Ir leggi mitro ri pJp. a//'indirizzo http://yotoshi.rom/ è utilizzai uh "/Ir 
l\l>ilormttfile seanh rngiiir" 'rimi nomegjà riarmilo. Dar umili a nudi un aiutano u remili 
velocemente fi Ir Intornili a immagini rio, ma anrhr immagini, riunì mani, software, audio r vidro. 
Di unto per funi una rupia, natili allunile rii l/aihip!. rii ogni rosa passi perla testa. Stando 
allenii a non gnu inselli. 
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ctimewco 


S viluppato 
in Giap¬ 
pone, è un 
display a 91” 
visibile da 
tutte le ango¬ 
lazioni, anche 
da dietro. 

Com’è possibi¬ 
le? Semplice- 
mente perché 
è cilindrico e 
srotola qualun¬ 
que immagine, 
o qualunque 
filmato, su tut¬ 
ta la superficie. 

Un po' scomo¬ 
do correre in 
continua¬ 
zione in tondo 
per capire chi 

sta sparando al nostro attore preferito 
durante la visione del nostro film prefe¬ 
rito, ma tant'è. 

La soddisfazione è massima quando lo 
vedranno i nostri amici e ci chiederan¬ 
no quanto l'abbiamo pagato. Potremo 
dire loro di essere tra i pochi ad avere 
in casa un oggettino da 93 mila dollari 
(sì, abbiamo scritto giusto). 



miliaiui ui uyciatium ili vnyuia muuiic Ogni 

secondo. 

Si chiama Blue Gene/L e sarà installato pres¬ 
so l’Agenzia Nazionale per la Sicurezza Nuclea¬ 
re del Dipartimento dell'Energia americano, 
innanzitutto per simulare l'utilizzo di armi 
nucleari, evitando cosi i test nel sottosuolo. In 
prospettiva speriamo in qualche utilizzo più 
pacifico. E da noi? Ecco MareNostrum. il com¬ 
puter spagnolo basato su Linux, sempre di 
Ibm, che si colloca al quarto posto dei com¬ 
puter più potenti del mondo e al primo in Euro¬ 
pa. Ma nel 2005 già ci aspettiamo un salto di 
qualità: pare che Ibm annunci un computer da 
300 mila miliardi di operazioni al secondo. 
Roba da sballo. 


Wm ATTRAVERSO ì 

Q ualcuno ha mai visto gii occhiali che promettono di vedere attraverso i 
muri e sotto le gonne delle signore? Per anni sono stati lo specchietto per 
le allodole dei creduloni. Ora esiste una versione super tecnologica, pubblicizza¬ 
ta al sito www.advanced-intelligence.com/. Ancora roba da creduloni? Questo è 
tutto da verificare. Perché la tecnologia esiste ed è quella degli amplificatori di 
infrarossi. Ogni corpo emette 
infrarossi e rilevarli con l'aiuto 
della tecnologia delle macchine 
fotografiche digitali comporta 
vedere un esatto profilo del cor¬ 
po che li emette. E di corpi si 
tratta anche nelle fotografie di 
esempio presenti sul sito... ÀJ / 
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Lui è il creatore n i 





1 / olevo comunicarvi il mio indirizzo di blog dopo 
V aver riletto x2o3 volte l’articolo a pag 8 di non 
so quale num. (skerzo...). Cmq bando alle ciance e 
eccovi l'indirizzo del blog: 
http://darksquall1988. blog. tiscali. it 
...e se passate lasciate un commento...grazie... 

Un ciao a tutta la vostra crew...! Continuate cosìl 

DarkSquall"88 



Ciao! 

Ho creato il Team Hacker Journal per il 
progetto SETI@home che sfrutta Tinter- 


Eccoti accontentato. Mi raccomando, rendilo sempre più bello e interessante da leg¬ 
gere! Altrimenti si fa in fretta, a perdere ammiratori! 


faccia BOINC. Ci si può iscrivere su 
http://setiweb.ssl.berkeley.edu, nella 
sezione "teams". Iscrivetevi, mi racco- 
mando! 


UN Almo' suo 


Basta, passa a Linux! 





Tomi 82 

Bravo! Siamo tutti con te. Ovviamen¬ 
te non sei l’unico... 


E lui il creatore n°1 

Carissimi di Hacker Journal, 
quando ho letto l’articolo sui progetti 
@HOME mi sono subito "gettato" in rete 
per aderire al progetto SETI e a quello 
sulla cura del cancro: a proposito di que- 
st’ultima, ho fondato il team: HJ - Spell- 
Breakers Vi prego di pubblicarmi e invi¬ 
to tutti ad accorrere numerosi! Siete miti¬ 
ci, continuate cosili! 

SpelIBreaker 

Ottimo! Facciamoli vincere, questi 
team! 




I / olevo anche segnalarvi il mio sito (se 
V potete pubblicate almeno questo.. gra¬ 
zie...) : http://gianoit.altervista.org 

Giano87 

Per le tante domande... alla prossima! Per 
il sito: eccoti accontentato! Se riuscirai a 
renderlo ancora più ricco e correggerai i 
refusi, sarà sicuramente più visitato! Ciao! 


Consiglio pr 




A vevate ragione... Il pinguino llnux è con- 
ritagioso. Grazie per aveimi latto "disintos¬ 
sicare'' dall'uso delle finestre. 

Mi ero avvicinato da un po di tempo all'Open 
Source, tramite open office, ma linux è dav¬ 
vero un altro pianetaI Adesso, dopo averlo 
provato con la distro Knoppix - live, sto aspet¬ 
tando l'uscita di una versione permanent, che 
sancirà il mio ingresso anche nella comuni¬ 
tà dei linux user's. Continuate cosi e compli¬ 
menti per la rivista. 

Ormoco 


W Linux!. Perfino nei supercomputer, quel¬ 
li che usano cubi’ di centinaia di proces¬ 
sori ciascuno, è installato Linux. 

L'ultimo esemplo in Spagna: il supercom¬ 
puter più potente d’Europa, europeo, è 
basato su Linux. 


u 


olevo dare un consiglio ai lettori di hac- 
kerjoumal, per quanto riguarda la rimo¬ 
zione dei programmi spia, è meglio effettua¬ 
re la scansione con ad-aware o spybot o di 
entrambi , quando Windows è in modalità 
provvisoria, questo per evitare che il proces¬ 
so attivo del programma spia reimposti il tut¬ 


to com'era prima alla fine della scansione. 

net_csharp 

È giusto. Non l'abbiamo mai sottolineato 
abbastanza e pensiamo che ad alcuni let¬ 
tori possa effettivamente risolvere qual¬ 
che problema! Grazie! 
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£M f ATTO' 


caccia di idee 


sbjp 


JS 


In base a quanto letto nell'ultimo numero di 
hj, vorrei segnalare il nostro sito, come un 
collaboratore al progetto "Seti@Home~... oltre 
ad occuparsi di altri argomenti, molto Interes¬ 
santi : il sito è: www.branzilla.org 
Grazie e a presto 

.:Branzilla :. 

Menzione all'ottimo sito, più che al prc 
getto! Noi vorremmo progetti HJ! :) 



S alve gentile redazione di hj, la vostra rivi¬ 
sta è magnifica. Però volavo proporvi una 
cosa: perchè non mettete una rubrica per gli 
annunci? lo per esempio ne avrei uno: sono 
un neo-programmatore in C++. Solo che non 
ho spunti per realizzare qualcke programmi¬ 
no sfizioso 

Qualcuno può mandarmi qualche idea all'in¬ 
dirizzo reodark@virglio.it? Però non qualco¬ 
sa di astronomico perke sono alle prime armi. 
Manderò una copia dei codici a coloro che 
mi risponderanno. Grazie mille e...W l'open 
source, abbasso Microsoft, e al diavolo i 
\mers. 

reodark @ Virgilio, it 

Beh, di idee crediamo sia pieno il mondo, 
a pensarci bene. Perché non cominci da 
qualcosa che possa servire a te? :) 


CiriCT MOIi . . . 
SII MORI .. . rraa 


CAiioa coMfOimoa 
Ulti LAICO RUIITOU 


APPI! SBAGLIA (VA) 


O vviamente l’indicazione che la calcolatri¬ 
ce di MacOSX 10.3 può produrre qualche 
problema ha suscitato non poche e interessan¬ 
ti risposte. Per esempio quelle di Gianni Arcie¬ 
ri, ilconte100@fastwebnet.it, MP. Tutti ci dimo¬ 
strano che non è 
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vero o che abbia¬ 
mo trattato la 
cosa superficial¬ 
mente. Ripetiamo 
quanto dice Apple 
stessa. La nota 
tecnica è all'indi¬ 
rizzo: http://docs.info. appiè ,com 

/article. html?artnum=25687. È possibile che 
nelle versioni superiori a MacOSX 10.3 abbia¬ 
no posto rimedio, ma abbiamo fatto una prova 
con una versione 10.3.5 e l'errore è ancora li. 


DVD NON ECOLOGICI? 


C iao, leggendo la news sui DVD usa e getta, mi è venuta spontanea una 
domanda: dopo aver passato anni a convincerci che l'usa e getta è sbaglia¬ 
to perché si inquina a più non posso, perché si incoraggia lo spreco di risorse 
ecc., per di più in un epoca in cui i contenuti si possono trasmettere via internet 
senza praticamente alcuno spreco (tranne un po'di elettricità), ecco che appare 
l'uovo di Colombo, il DVD usa e getta. Ma le tonnellate di DVD prodotte con que¬ 
sto sistema che fine faranno? Si potrà almeno riciclarle oppure entreranno a far 
parte di quella grossa fetta di rifiuti che l'era informatica sembrava dover elimi¬ 
nare? 

Ubique 

Bella domanda. E noi lettori, cosa pensiamo sull'argomento? 
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DUCON CONDINSER PTY LTD. 


C iao a tutti, sono il duca, salto i compli¬ 
menti xkè ho poco tempo... vi scrivo per 
due problemini... il primo: le resistenze da usa¬ 
re perseguire l'articolo "Hack di un USB"devo¬ 
no essere quelle "grandi" o quelle "piccole"? 
il secondo: ho registrato il mio nick su IRC e 
adesso non mi fa più accedere con esso! a 
proposito, xkè non fate un pò più articoli sul¬ 
l'elettronica? x il resto continuate cosi... Ciao. 

Il Duca 

Se è perché non hai tempo, figurati noi! :) 
Risposta a): quelle piccole. Le potenze in 
gioco sono minime. 

Risposta b): boh! 

Risposta c): perché mancava la tue email 
per farci decidere! ;) 





























































a compressione .png è una del¬ 
le migliori compressioni possi¬ 
bili da applicare a un file d'imma¬ 
gine da inviare sulla rete, perché 
è efficiente e non comporta nessu¬ 
na perdita di dati. Costruire un siste¬ 
ma di compressione e visualizzazione del¬ 
le immagini non è roba da poco. Oltre a pen¬ 
sarlo con delle caratteristiche specifiche, 
adatte alla trasmissione di immagini sulla 
rete, bisogna creargli un contorno di libre¬ 
rie: dei pezzi di software che permettono agli 
sviluppatori delle applicazioni che ne fanno 
uso di incorporarlo e di farlo funzionare. Per 
il formato .png le librerie principali create e 
mantenute aggiornate sono due: zlib e 
^La prima si occupa della compres¬ 
sióne, lasecorfo^jitutto il resto. Libpng è il 
frutto di un progetto OpenSourcenato fin 
dal 1995. Tutti i programmatori che : 
nc^^^flUlcazioni che usanoT 
png devono fare uso delle funzioni di libpng 
inglobandole nel loro codice. 


Leuulnerabilità 

Attenzione alla versione, però. Perché nel¬ 
le versioni precedenti la 1.2.7 sono state 
scoperte delle vulnerabilità non da poco. 
Qualunque applicazione faccia uso di libpng 


in versioni precedenti la 1.2.7 è seriamente 
minacciabile semplicemente scaricando 
un'immagine .png. Al punto che l'attaccan¬ 
te può prendere il controllo dei fapplicazio¬ 
ne stessa, facendo eseguire apposito codi¬ 
ce inserito nel formato dei dati png. Un guaio 
serio, di cui ci si è accorti solamente nel 
mese di agosto di quest'anno. 
Un'immagine .png contiene obbligatoria¬ 
mente dei pezzi di software che si chiama¬ 
no IHDR, IDAT e IEND. Oltre a questi, nel¬ 
le specifiche dello standard png è permes¬ 
so che l’immagine possa contenere altri pez¬ 
zi di codice. Per esempio il codice opziona¬ 
le tRNS è quello che nelle immagini gestisce 
la caratteristica di trasparenza. All'Interno 
del pezzo tRNS ci sono diversi blocchi di 
codice, che possono essere manipolati da 
un attaccante. Se si omette il blocco PLTE, 
=ji_crea una condizione per un errore logico 
buffer overflow. La funzio¬ 
ne è la 

png_handle_tRN5 
lità di assicurare la corretta formai 
delle immagini png. Quando si trattano del¬ 
le immagini png non create correttamente 
o alterate, questa funzione può miseramen¬ 
te cadere sulla corretta autenticazione del¬ 
la lunghezza dei dati relativi ai pezzi in tra¬ 
sparenza. Le applicazioni che supportano 
il formato .png possono essere parecchie: 
dai navigatori ai programmi di posta elettro¬ 


nica. alle diverse utility gra¬ 
fiche. Tutte le applicazioni che utilizzano la 
libreria libpng potrebbero quindi essere 
toccate dal problema. 


Le soluzioni 


Una patch della patch. Perché la libreria 
libpng è stata corretta, ma introducendo 
un banale errore di programmazione: 
sbagliava l’intestazione del formato dei 
file. Quindi è stata rilasciata un’altra 
patch, finalmente definitiva, che è la 
1.2.7. Già, ma nel frattempo? Siamo 
al sicuro quando utilizziamo, per esem¬ 
pio, Word o Explorer? Ovviamente no, 
se non abbiamo scaricato gli aggior¬ 
namenti di Office dal sito Microsoft. 

Così anche per MacOSX esiste l'ag¬ 
giornamento che mette al riparo dalle 
_bizze del formato png. Lo troviamo all’in- 

__ jMpple-Secu- 

rity-T 

2283-10315112.? 

Oppure consultiamo il documefiTtraiPI^^B 
zo httpy/docs.info.apple.com/article. html?c 
num=25791 e facciamo così un aggiorna¬ 
mento globale che comprende anche tutte 
le patch di sicurezza fino a ora uscite per i 
sistemi Apple. H 
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■suoi creatori dicono che la pronuncia 
L «esatta è ping, 


che poi sarebbe l'acroni- 
mo di Portable Network Graphics, ma anche 
di PiNG is Not Gif. perché il formato png è 
nato quasi come una sfida al GIF, usato ini¬ 
zialmente da CompuServe e fino a poco 


.PNG vs .GIF 


assenza d'errori, 


ma eoa comunità 


elle lavora per 


■ r J |\,Nn 

• i - . fjl\ 

tempo fa coperto da brevetto (a proposi¬ 
to: pronunciamo Gif con la G dolce come 
giraffa o Gif con la G dura come gatto? 
Risposta esatta: G dolce) 


NON UNA TANT 


L a vulnerabilità di libpng di cui abbiamo 
detto è la più pericolosa. Ma la realtà è 
peggiore. 


Sono state scoperte diverse vul 
nerabilità nella stessa libreria: 

- il puntatore libpng png_handle_iCCP() 
NULL non porta a nulla durante un'opera¬ 
zione di allocazione della memoria. 

- si ha un libpng integer overflow quando 
libpng fa uso della funzione png_read_png() 

- la funzione libpng png_handle_sPLT() può 
portare in overflow durante le operazioni di 
allocazione della memoria. 

- libpng png_handle_sBIT() esegue dei con¬ 
trolli insufficienti di limite della memoria. 


( p 9 ] ( www.hackerjoumal.lt ) 


















EP2P 




Hi 

■■■■ 



[spiammo I segreti tette reti p2p pii tregeeetste e tei 





Service Pack2 di Windows, SP2, e le sue 
sicurezze crea non pochi problemi ad alcu¬ 
ni programmi p2p, come eMule. BitTorrent, 
SoulSeeke altri. 

ni TCP contemporanee. È possibile rimedia¬ 
re intervenendo sui file di registro andando a 
cambiare il valore di una variabile che si ch'a¬ 
ma DWORD e che si raggiunge cosi' 

System Key: 

[HKEY .LOCAL MACHINBSystem\Current- 
ControlSetAServicesMcpip'Parameters] 
Vaine Manie: TcpMumConnections 
Data Type: RE6_DW0R0 (DWORO Value) 
Value Data: 0 - Oxfffffe 


to, ma ogni computer è collegato diretta- 
mente a un altro. Ha però la caratteristica di 
creare dei server temporanei di indicizzazio¬ 
ne degli utenti su una qualunque macchina 
abbastanza potente che trovi collegata. Quin¬ 
di anche noi potremmo diventare un tempo¬ 
raneo server, che facilita la ricerca spezzan¬ 
do in sottoreti l'enorme massa di utenti che 
accedono normalmente con Kazaa. La sta¬ 
bilità del tutto ha portato FastTrack a essere 
utilizzata da oltre 4 milioni di utenti. 


ilioni di utenti in tutto il 
mondo si scambiano file 
d'ogni tipo collegando i 
loro computer tramite le 


1 I loro computer tramite le 
K fl I reti peer-to-peer. Le 

B m m _|] associazioni delle case 

discografiche e dei produttori video ci 
mentono spudoratamente: non è vero 
che più avanza la lotta alla pirateria e 
meno utilizzate sono le reti p2p. Stando 
ai numeri, gli utenti p2p sono in continua 
crescita in tutto il mondo, chi su una rete, 
chi su un'altra. Ma diamo un’occhiata ai 
sistemi principali, che funzionano come 
niente fosse sotto lo sguardo terrorizza¬ 
to di chi vorrebbe controllare tutto e limi¬ 
tare la libertà di Internet. 

Tutti i programmi indicati esistono in 
diverse versioni per sistemi operativi dif¬ 
ferenti, quasi tutti sono disponibili per 
Linux, MacOS e Windows. Diamo le indi¬ 
cazioni per scaricare la versione Win¬ 
dows, ma dal sito principale è facile tro¬ 
vare le altre. i ti 


I I 

LE IMITAZIONI f)t SP2 


Quando usiamo BitTorrent in realtà non facciamo nessuna ricerca di file 
presso altri utenti, come nel normale p2p. Invece raggiungiamo un server centrale dove c'è 
una lista di tutti i più recenti trasferimenti di file. Le liste di server che tengono traccia dei 
file trasferiti e di dove andarli a cercare, costituiscono i file torrent che sono innanzitutto 
scaricati dal Client. Dopodiché è interrogato il server che li indirizza e quindi viene caricato il 
file da dove fisicamente si trova. 


aprile 2004 


http://bittorrent.com/download.html 
2.226 KB 


http://bittorrent.com/ 


Ti! 

Ili 


3.4.2 
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kaZaa 


VERSIONE CORRENTE: 2.6.6 (italiano), 
2.7 (inglese) 

RILASCIATA: aprile 2004 
INDIRIZZO DI DOWNLOAD: 
www.kazaa.com/it/ 
products/downloadKMD.htm 
DIMENSIONE FILE: 6,7 MB 
HOMEPAGE: www.kazaa.com 















NEMIBIE 





ottobre 2004 


nBncro imprfcsioitttrile di utem Qual- 
I che anno fa la rete di Napster, OpenNap, 
I venne pero accusata di facilitare il traffico 
illecito di file musicali mp3 Con razione 
, legale della potente associazione delle case 
discografiche americane. RIAA, ha quindi 
, subito un colpo mortale e ne e seguito un 


http://wwvAbittornado.com/download.html 
3,56 MB 

http://bittornado.com/"" 


periodo di caos. Fino al rilascio della ver¬ 
sione 2,5 di WinMX. Oltre a mantenere il 
supporto della defunta «le OpenNap, 

WinMX ha introdotto il protocollo di rete 
WPNP (WinMX Peer Networking Protocol) 
Cosi facendo, a fronte rii «^semplice 
aggiornamento della versione gli oltre 100 
mila utenti dell’era di Napster si sono tro- 


ettembre 2004 

wwvAbitcomet.com/doc/dovvnload.htm 
1.649 KB 

www.bitcomet.com 



1 .wmmx.com/81 98751285/win 


804 KB 

www.winmx.com 


GROKSTER 

VERSIONE CORRENTE: 2.6 
RILASCIATA: febbraio 2004 
INDIRIZZO DI DOWNLOAD: 
http://www.download.com/ 
Grokster/3000-2166-10237041 ,html?part 
=dl-grokster&subj=dl&tag=button 
DIMENSIONE FILE: 251.27 KB 
HOMEPAGE: www.grokster.com 


VERSIONE CORRENTE: 

4.5 build 150 

RILASCIATA: febbraio 2004 
INDIRIZZO DI DOWNLOAD: 
www.imesh.com/ 
download/download.php 
DIMENSIONE FILE: 3.16 MB 
HOMEPAGE: www.imesh.com 
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DoocaMFfe 


Solamente MP3. Niente 
video, .torrent, Dvd o chissà cos’altro. La 
rete Manolito è dedicata solamente allo 
scambio di file MP3 ed è anche molto con¬ 
trollata. Praticamente inesistenti file incom¬ 
pleti o corrotti. È nata nel 2001 in Spagna 
per opera di un unico programmatore: Pablo 
Soto. Come FastTrack, WinMX o Gnutella 
anche Manolito è una rete senza server cen¬ 
trale e quindi più resistente agli attacchi lega¬ 
li della potente associazione delle case disco- 
grafiche americane. 


efionkey2000 


E una rete centralizzata, quindi utilizza un server a cui tutti i Client fanno riferimento. 

Ovviamente cosi facendo è sottoposta agli attacchi della RIAA e di chi vuole limitare lo 
scambio di file p2p Per lo stesso concetto aveva dovuto chiudere Napster, che era una rete 
centralizzata in California. Per cercare di evitare problemi di questo tipo eDonkey non adotta 
'un unico server centrale, ma ce ne sono diversi e non hanno mai un'unica collocazione pre¬ 
cisa. Si è sempre distinta come la rete per le risorse di video, film, immagini ISO di CD, e gli 
album completi. Roba pesante, insomma. Cosi facendo si pone come alternativa ai Newsgroup _ 
più spinti o alle reti IRC. Pare che attualmente comprenda oltre 1 milione di utenti. 

Ora comprende anche la rete OverNet e la nuova versione di eDonkey può usare entrami^’ 
reti. OverNet è nata come rete decentralizzata, alternativa a eDonkey2000. Ma quest'uWfc* 
non è mai morta anche grazie alla diffusione di eMule, uno dei Client che ne fa uso. 


EDONKEY 


VERSIONE CORRENTE: 1.0 
RILASCIATA: agosto 2004 
ZZO DI DOWNLOA 


DOWNLOAD: www.edon 


HOM 


re www.o 




© .. -s 


Ina rete decenlra- 
Ulizzata. quindi 
senza server localiz¬ 
zati da qualche par¬ 
te. Invece, anche il 
nostro pc può diven¬ 
tare di supporto alla 
rete Gnutella, se vie¬ 
ne "promosso" a 
nodo super-peer, 
capace di tenere indi¬ 
cizzati degli indirizzi 

di altri Client e quindi aiutando a spezzare la rete globale in sotto¬ 
reti più ridotte e più facilmente consultabili.Inizialmente è stata 
sviluppata da Justin Frankle di NullSoft. Con il programma Sha- 
reaza è stata sviluppata una versione chiamata Gnutella 2 che ha 
risolto alcuni possibili problemi di sovraccarico della tecnologia 
alla base di Gnutella, ma è anche contestata da molti utenti come 
un tradimento all’idea di rete originale. 


SHÀREaZa 


VERSIONE CORRENTE. 2.1 
RILASCIATA: settembre 2004 
INDIRIZZO DI DOWNLOAD: 

www.shareaza.com/ 

?id=download 

DIMENSIONE FILE: 3,56 MB 
HOMEPAGE www.shareaza.com/ 
Supporta Gnutella2. Edon- 
key 2000 e BitTorrent. 


LHAEWIRE 

VERSIONE CORRENTE: 4.0.8 
RILASCIATA: settembre 2004 
INDIRIZZO DI DOWNLOAD: 

http://www.download.com/Lime 
Wire-lnternational-/3000-2166 
10132964.html?part=dl-limewi 
re&subj=dl_int&tag=button 

DIMENSIONE FILE: 14.42 MB 
HOMEPAGE: 

http://www.limewire.com/ 
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ECI t * frfC 

E una delle reti più antiche, è molto simile alla defunta OpenNap di Napster, ma ha la par¬ 
ticolarità di selezionare l'accesso concedendolo solo a chi è in grado di mettere In comune 
file per almeno 3 gigabyte. Questo porta a una selezione naturale che scoraggia chi possiede 
una connessione lenta. Infatti gli utenti sono solamente circa 400 mila, ma i file sono spesso 
selezionati e su alcuni hub anche specifici (solo immagini, solo musica, solo filmati, eccetera). 
Com’era Napster è una rete centralizzata e questo la espone agli attacchi di chi vuole indagare 
e approfondire ciò che ci scorre sopra. Come nell'agosto di quest'anno, in cui cinque compu 
ter collegati a DirectConnect sono stati presi di mira dall'FBI. 

OIRECTCONNECT oc 

VERSIONE CORRENTE: 2.2.05 VERSIONE CORRENTE: 0.4034 

RILASCIATA: marzo 2004 RILASCIATA: marzo 2004 

INDIRIZZO DI DOWNLOAD: INDIRIZZO DI DOWNLOAD: 

www.neo-modus.com/weeklies/http://prdownloads.sourceforge.net/dcplu- 
DCWeekly.exe splus/DCPIusPlus-0.4034.exe?download 

DIMENSIONE FILF: 885 KB DIMENSIONE FILE: 2322 KB 

HOMEPAGE: www.neo-modus com HOMEPAGE: 

http://dcplusplus.sourceforge.net/ 

NOTE: è l'alternativa OpenSource a Direct¬ 
Connect 



chi non si accontent 
□nnellate diMP3 chepuòtro 


Se stiamo cercando musica 
elettronica, techno o dance, oppure un pez¬ 
zo che abbiamo ascoltato solamente in loca¬ 
le di New York il sabato sera, qui probabil¬ 
mente riusciamo a trovarlo. 

Più si sponsorizza con piccole donazioni e 
più si sale nella priorità di download. 


152 

ottobre 2003 

www.slsknet.org/slsk152.exe 
738 KB 

www.slsknet.org 


bEaRSHaRE 

VERSIONE CORRENTE: 4.6 
RILASCIATA: giugno 2004 
INDIRIZZO 01 OOWNLOAO: 
http://download.bearshare.eom/B 
SINSTALLIT.exe 
DIMENSIONE FILE: 3.12 MB 
HOMEPAGE: www.bearshare.com 
NOTE: Ad-ware clienti 




VERSIONE CORRENTE: 4.6 
RILASCIATA: novembre 2004 
INDIRIZZO DI DOWNLOAD: 
httpY/gnucleus.com/betagnuc 
/index.php 

DIMENSIONE FILE: 988.09 KB 
HOMEPAGE www.gnucleus.com 




VERSIONE CORRENTE: 4.6 
RILASCIATA: novembre 2004 
INDIRIZZO DI DOWNLOAD: 
http://www.download.com/Mor- 
pheus/3000-2166- 
10057840.html?part=dl-mor- 
pheus&subj=dl&tag=www 
DIMENSIONE FILE: 90 KB 
HOMEPAGE: 
www.morpheus.com 
NOTE: Ad-ware clienti 




VERSIONE CORRENTE: 2.0 
RILASCIATA: maggio 2004 
INDIRIZZO DI DOWNLOAD: 
http://www.download.com/3000- 
2166-10063575.html 
DIMENSIONE FILE: 79 KB 
HOMEPAG: : http://www.xolox.nl/ 


























































































PHP 



metieue 



i per sé il file php.ini funzio- 

I na benissimo così com ò. 

Ciascuno di noi però ha le sue 
preferenze, conosce i suoi 
trucchi e ci tiene a sistemare 

_ _ le cose secondo i suoi gusti. 

Anche per lavorare più veloci. In un pas¬ 
sato numero di Hacker Journal abbia¬ 
mo già avuto modo di guardare sotto il 
cofano di php.ini e di modificare parec¬ 
chi parametri, ma le possibilità sono 
ancora tante. Vediamo se riusciamo a 
scovare qualche altro trucco utile. 


I per c orsi mig liori 

Una variabile del file php.ini è chia¬ 
mata include .path e serve per impo¬ 
stare dei percorsi di ricerca. Un po' 

come se caricassimo il sistema di navi¬ 
gazione satellitare con delle mappe per 


un paese sconosciuto. Diamo al siste¬ 
ma una serie di "dritte" da cui partire per 
scovare quanto gli serve durante il fun¬ 
zionamento. Poi, se non trova la strada 
giusta, comunque ce la chiederà, ma 
prima avrà fatto tutti i tentativi tra quel¬ 
le che conosce. E che gli abbiamo det¬ 
to in precedenza con include path, 
appunto. Così, quando php avrà a che 
fare con dei riferimenti a dei file senza 
una specifica path, un percorso, prima 
di tutto controllerà nelle directory che gli 
abbiamo indicato. 

Se, per esempio, abbiamo una serie di 
classi o di librerie che usiamo di frequen¬ 
te, con include_path possiamo elencar¬ 
ne i percorsi per trovarle senza rallen¬ 
tamenti in qualunque momento. 

Un altro trucco utile: è anche il posto 
giusto per specificare le classi PEAR 
(Php Extension and Application Reposi- 
tory) di php, che ci danno sempre tante 



« 


Ognm di noi ha le sue 

Nel file php.ini c’è tuttn 
guellu che ci serve per fnrlu funziunure 
e nnstra misura! 










IG 



possibilità di scrivere codice puli¬ 
to e standardizzato. Ecco come seri- ' 
vere una cosa del genere: 


include_path= 

[•‘.t/usr/local/lib/php/pear:” A 


error_reportìng = E_HLL^ 


display_errors= off A 


display_errors = Off 
log_errors = On 
error_log = “error.log” 


ControlBus 

contralbus@safthame.net 
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RSl una pEar 


Gestire le stupidaggini 


una libreria strutturata di codice open- 
source per utilizzatori di php; 

un sistema di distribuzione del codice 
di manutenzione delle applicazioni; 

uno stile standard per la scrittura di codi¬ 
ce php; 

le classi fondamentali di php; 
alcune librerie di estensioni; 
un sito web, una mailing list e dei mir- 
ror per sostenere la comunità di sviluppato- 
ri php 

Il sito di riferimento per il progetto Pear è 
http://pear.php.net/ 


pend 


file 


aut 


re 


/hame/uieb/includes/header 


P* 


auto_append_file 

/home/ureb/includes/foater.ph 


Hel netto Piar 
si trovano tanti netti 
interessanti, come questo 
per trasformare file .jpeg .gif, 
.png in immagini Uscii... 


Attenzione utenti Windows: possiamo 
specificare diverse posizioni separandole 
dal punto e virgola, a differenza degli uten¬ 
ti Unix che dovranno utilizzare i due punti. 


Gli errori che possono capitare 
quando si gestisce php sono 
più o meno di quattro tipi. Il pri¬ 
mo è quello che gli anglosasso¬ 
ni chiamano "fata error" e che 
non ha bisogno di tante spiega¬ 
zioni. Quando accade è troppo 
tardi e generalmente l'applicazione va 
in stop: si blocca e bisogna mettere 
mano al codice. 

Gli errori non fatali, o avvertimenti, così 
come gli errori di codice - come una 
variabile non inizializzata - e gli errori di 
parsing - quando un’istruzione non vie¬ 
ne interpretata - sono le altre possibilità 
d'errore che php ci segnala con degli 
appositi avvisi. 

Possiamo fare in modo che questi avvi¬ 
si non ci vengano fatti vedere, ma siano 
scritti su un file di log che potremo con 
calma studiare dopo aver testato l'appli¬ 
cazione. Molto interessante soprattutto 
nella fase di sviluppo. Come si fa? Cattu¬ 
riamo i codici d'errore con la variabile: 


ed evitiamo di farli apparire mettendo a 
off la variabile 


Specificare la patii 
e come guardare 
la mappa del nostro 
navigatore: trovare 
la strada sarà mol¬ 
to più semplice. 

mente generate. Ri 
siamo scrivere così: 


Infine è bene e 
utile che li cattu¬ 
riamo in un file 
di log, che può 
essere specifi¬ 
cato con il valo¬ 
re syslog o con 
un nome a pia¬ 
cere, in cui rac¬ 
coglieremo le 
segnalazioni di 
errore eventual- 
assumendo pos- 


Sarà poi necessario che andiamo 
regolarmente a leggere il file error.log, 
per tenere d'occhio cosa sta succeden¬ 
do alla nostra applicazione. 


Due uariabili sorelle 


Auto_prepend_file e auto appendale 
sono altre due variabili che possono 
venire utili in queste occasioni. La pri¬ 
ma ci serve per attaccare all'inizio di qua¬ 
lunque documento generato da php 
un'intestazione. La seconda per attacca¬ 
re un piè di pagina. 

Naturalmente sono molto utili per identi¬ 
ficare bene con i 
nostri dati qualun¬ 
que documento stia¬ 
mo generando, sen¬ 
za essere costretti 
ogni volta a dover 
aggiungere delle 
righe di codice. 

Sono interessanti 
soprattutto quando 
^stiamo progettando 
un server dedicato 
a una singola applicazione, perché per 
òontro i dati sono aggiunti prima e dopo 
tutti i documenti che generiamo e que¬ 
sto potrebbe essere inutile o addirittura 
fastidioso. 

Il codice lo possiamo scrivere come uno 
script php semplice e indipendente, o 
inglobato in codice Html, naturalmente 
racchiudendolo tra i tag <?php...?>: 
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- Tu hai fatto COSA?! 

- ...ma, si, volevamo far accedere 
all'applicativo direttamente i nostri 
clienti tedeschi, così dato che di Linux 
ci capisco un po’, ho attribuito al server 
un IP pubblico e l’ho messo collegato al 
router, così quelli possono accedere a 
web server. 

- Ma bravo, fortuna che ne capisci di 
Linux! Quella macchina non era proget¬ 
tata per andare su Internet, non è sta¬ 
ta blindata, tutti i servizi sono ora a 
disposizione del primo script kiddie che 
passa! A proposito perché mi hai tele¬ 
fonato? 

- err, beh un quarto d'ora dopo che 
ho collegato il server a Internet mi 
si è bloccato tutto, il gestionale non 
funzionava più, l'accesso alle pagine 
web era inibito e non si vedevano più le 
stampanti. Ho provato a entrare colla 
telnet ma mi dà accesso negato con 
qualsiasi utente. Allora ho spento tutto, 
ma non potendo entrare per fare lo shut- 
down ho staccato l'interruttore. Ora mi 
dice di dare la password di root per poter 
controllare i dischi, ma la password non 
funziona. 

- Complimenti, hai battuto tutti i record 
di vulnerabilità. Non oso immaginare 
cosa può esserci dentro quel server. 
Naturalmente, hai le copie di tutto 
aggiornate a ieri sera, vero?! 

- Uh... ma intanto come faccio a rimet¬ 
tere in pista il mio server? 

- Scordatelo, è stato sicuramente 
compromesso. Facciamo così, pren¬ 
di quella macchina e vieni qua, vedia¬ 
mo che cosa si può fare. Naturalmente 
questo esula dal normale contratto di 
assistenza, e verrà fatturato a ore. 

Due ore dopo, mi ritrovo Dave nel 
mio laboratorio, a mani vuote. 

- Beh? Dov'è la macchina? 

- Giù nel parcheggio. 

- E perché non l'hai portata su? 

- Eh? Ma mi hai detto di prendere la 
macchina e venire qui. io non ho porta¬ 
to nulla! 


- Ossignur.Ja macchina!, il server!, 
il computer!, non la macchina automo¬ 
bile! Ora riprendi la tua automobile, tor¬ 
na da dove sei venuto, e carica la mac¬ 
china in macchina cioè il computer den¬ 
tro l'automobile! 



LinuH sotto i f erri 

Il giorno dopo riesco ad avere in 
laboratorio il disastrato server. 

- Ok. siediti, che così vedi anche tu 
che disastro hai combinato. 

Dato che non si riesce a entrare nean¬ 
che da console con la password di root, 
lo attivo in modalità single user mode: 
reboot... init... boot: linux S 
e comincio l'ispezione. 

"Mmh strano, sotto la /usr/bin non vedo 
anomalie, anche con ps non vedo pro¬ 
cessi anomali, però passwd non funzia. 
Probabilmente hanno installato un root- 
kit". 

Installo il mio fido chkrootkit 
(www.chkrootkit.org) per verificare. 
...typpette clickete tip tap aahh! ecco 
qua! il vandalo ha installato il famigera¬ 
to Romanian rootkit. 

Forte, guarda! Ha sostituito tutti i coman¬ 
di fondamentali: ps, login, netstat, anche 
l’is; tutte le directory che si chiamano 
RK come rootkit sono invisibili! Clickete 



















à Ogni riferimento e fatti e persone 
jCVJI non è per nulla cassale, tunica 

I™ - j indirizzo che non esiste più è goello 
di itoli: l’ùanno chiuso, forse... 


clack... Guarda, il file/var/log/messages 
non è stato pulito: riesco a vedere l'ora 
e il momento in cui il tizio è entrato, e... 
guarda qui! il log di FTP! Il quaglione si 
è connesso al suo sito e ha scaricato il 
suo rootkit, poi ha iniziato a compilarlo 
e installarlo, poi qualcosa è andato stor¬ 



to e non è riuscito più a connettersi, visto 
che ha sputtanato il programma di login. 
Ma ora io ho l’indirizzo del suo covo! 
Quasi quasi gli faccio una visita... 

Ecco qua: http://roli.3x.ro... un rumeno! 

Una volta erano i bulgari i kattivi... bene 

bene, vediamo che cosa abbiamo qui. 

Che gente, neanche una password per 

tappare il suo sito, proprio un pivello 

Documents 

Virus 

Hacks 

Passwords 

CreditCards 

urka! 

Vediamo CreditCards... guarda qua che 
lista di numeri! 

Posto pericoloso, questo... 

Vediamo Virus: winuke.exe, fbi.exe... bel¬ 
la collezione, fortuna che qui ci sono 
solo macchine Linux e OSX! 

Vediamo Documents: logs, shells, pas¬ 
swords di root e questo che è? Com- 
mands? Ma guarda, il manuale dei 
comandi MS Dos! Ah! Altro che tosto, 
questo non sa nemmeno i comandi Dos! 
E' un kiddie dell’ultima ora, però si è 


impegnato, tutti quei numeri di CC... E 

qui, guarda, è pure vanitoso, c’è la sua 

foto! Andiamo oltre, ma forse non mi 

conviene perdere tempo così... ‘spetta. 

un bel colpo di wget -a -r 

http://roli.3x.ro/home/gonzo 

(www.gnu.org/software/wget/wget. html) 

e mi succhio tutto :-D 

Vediamo, abbiamo anche l'accesso ftp 

in scrittura? 

ftp ftp@roli.3x.ro 

password roli 

entrato! 

quasi quasi gli cancello tutto... no, forse 
e meglio agire in un altro modo: faccio 
una visita anche al sito della 
Polizia(www.poliziadistato.it/pds/infor- 
matica/contatti.html) e segnalo questo 
covo di ladri: uno che raccoglie pas¬ 
sword e numeri di carte di credito non 
è altro, anche se tutti i suoi programmi 
di cracking li tiene in una directory chia¬ 
mata Hacks. Certo che non so se la 
polizia italiana potrà fare qualcosa con¬ 
tro un malfattore che sta in Romania, 
ma lo comunicheranno alle autorità 
competenti, lo il mio dovere di onesto 
hacker l'ho fatto. 

Mmmh, qui ci sono dei virus, potrebbe 
essere pericoloso lasciare questa roba 
in giro, ora tarro tutto e crypto: tar cvf 
gonzo.tar /home/gonzo: 
gpg -e Rick gonzo.tgz (www.gnupg.org) 

E ora piallo questo cadavere di 
macchina; dove sono i CD di 
Linux? Ah eccoli qua, via! Ok. adesso 
che il server è rinato e quello sciaman¬ 
nato del tuo capo lo vuole mettere in 
Internet, gli do una patchata (che paro¬ 
la orribile): installo l’ultima di OpenSSL 
(www.openssl.org) in inetd.conf, attivo 
telnet solo per gli indirizzi locali, quindi 
spengo tutti i servizi che non servono. 
Speriamo che il nostro abbia veramen¬ 
te le copie di backup aggiornate, altri¬ 
menti qualcuno (ke non sono io!) dovrà 
stare in ufficio, sabato e domenica... 

Riccarda Ghiglianouich 
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"Segnalare fattacci non vuole tlire 

tua contribuire a tiare 
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mentazioni si può partire dalla pagina 
http://www.schnei er.com/twofish-down 
load.html, ma in Rete si trova ancora 
altro: per esempio a httpV/sourceforge.n 


wofish è un cifrario a blocchi 
realizzato dai Counterpane 
Labs ed è stato uno dei cinque 
finalisti candidati a costituire 
l’Advanced Encryption Stan- 
_ dard (AES). Twofish è bello per¬ 
ché libero da brevetti, privo di copyright e 
license free, libero per tutti gli utilizzi. Ecco 
perché potrebbe essere una scelta idea¬ 
le per le nostre attività di programmazio¬ 
ne dove serve una cifratura potente e affi¬ 
dabile. Tecnicamente parlando, stando 
alla descrizione che ne dà l’autore Bru- 
ce Schneier, Twofish è un cifrario a bloc¬ 
chi a 128 bit che accetta chiavi di lun¬ 
ghezza variabile, fino a 256 bit. Ualgorit- 
mo è implementabile anche direttamen¬ 
te nell'hardware, usando un totale di 14 
mila porte logiche. 

La cifratura avviene in sedici round nei 
quali accade veramente di tutto tra tra¬ 
sformazioni, rotazioni, calcoli matriciali, 
inversioni, funzioni varie e manipolazione 
delle chiavi. La progettazione di round e 
avvicendamento delle chiavi fa si che sia 
possibile utilizzare l'algoritmo anche 
dovendo scegliere il migliore compromes¬ 
so tra velocità, dimensioni del software, 
tempo di generazione delle chiavi e 
memoria a disposizione. 


L'algoritmo è relativamente vecchio, 
essendo nato nel 1998. Tuttavia ancora 
oggi rimane estremamente sicuro: gli attac¬ 
chi crittanalitici condotti contro Twofish sono 
arrivati al massimo a smontare cinque 
round su sedici, il che vuol dire che per arri¬ 
vare alla sua sconfitta completa ci vorrà 
ancora un bel po’. In compenso la sua affi¬ 
dabilità è ipercollaudata, tanto che lo usa¬ 
no numerosissimi programmi tra cui anche 
GNU Privacy Guard (GnuPG). la versione 
open source di PGP. Una descrizione com¬ 
pleta di Twofish (quasi impossibile da fare 
bene in due paginette!) si trova nel Pdf all’in- 
dirizzo http://www.schneier.com/paper-two- 
fish-paper.pdf. Il fatto che Twofish sia 
anzianotto semplifica le cose anche 
rispetto al suo utilizzo. Nel tempo si sono 
rese disponibili librerie un po’ per tutti i 
linguaggi più praticati: C, Delphi, Java, 
Optimized C, Perl e anche Visual Basic. 
Inoltre, per le implementazioni in 
assembly e direttamente nell'hardware. 
sono disponibili quelle per Pentium e per 
processori ancora molto usati in applica¬ 
zioni specifiche, come Z80 e 6805. Per 
iniziare una ricerca di librerie e imple 


et/projects/twofish-py/ si trova il proget¬ 
to versione Python di Twofish. 

Si parlerà ancora di Twofish su Hacker 
Journal. Per quanto l’algoritmo sia vec¬ 
chiotto, è tuttora molto robusto e relativa¬ 
mente facile da utilizzare nei nostri pro¬ 
grammi. Per chi volesse provare a utiliz¬ 
zarlo ci racconti come va a finire ed even¬ 
tualmente ci mandi il proprio eseguibile, 
o il codice, o ambedue: lo pubblicheremo 
nel CD-ROM di Hackers Magazine! 

Kurt Godei 
kurtgoedel@hackerjournal.it 


Mtf è tuttora 
Ira gli algoritmi 
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meritato in hardw< 
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a a che serve una scheda 
per fare Voice over IP e 
inviare la voce su Internet 
per audiochat e telefona¬ 
te? Serve, serve. La sche¬ 
da audio normale, che tro- 
stro computer di casa, può 
non essere ottimizzata per trattare la 
voce. Per fare bene VolP il sonoro va 
compresso e decompresso molto rapi¬ 
damente, secondo protocolli specifici. 
Quello che va bene per gli MP3 non va 
necessariamente bene per la voce in 
tempo reale. La prima scheda che pren¬ 
diamo in esame è la Phonejack di Quick- 
net. È una scheda audio normale, ISA o 
PCI, ma in più possiede l'accelerazione 
VolP. Supporta protocolli come G.711, 
normale e mu/A-law, G.728. G.729, True- 
Speech (G.723.1) e LPC10. Incorpora 
un connettore telefonico (cosi possiamo 
chiamare dal telefono) e anche gli ingres¬ 
si per microfono e diffusori. La scheda 
può funzionare senza un IRQ. In Win¬ 
dows la si installa con il suo driver e 
richiede il programma Internet Switch- 
board. L’uno e l'altro si prelevano dal sito 
Quicknet, http://www.quicknet.net. 

In Linux invece, oltre al driver giusto, 
bisogna per forza usare un programma 
open source come openphone oppure 
ohphone. Si trovano all'indirizzo 
http://www.openh323.org/code.html. 
Openphone e ohphone esistono anche 
per Windows e costituiscono alternati¬ 
ve possibili a Internet Switchboard. Sia 
su Windows che su Linux i programma- 
tori hanno a disposizione un Software 
Development Kit, reperibile a 
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Come configurare le scitene hardware per fare ^ 
viaggiare la vece su Internet senza pagare il pizze a feleconrm 










Mei sollevare 
IMla cornetta. Inter- 
net Switchboard entra in azio- 
ne e attende che digitiamo il nume- 

ro da chiamare. Possiamo digitare un ^| 

asterisco e poi comporre un numero IP. met- 
tendo asterischi al posto dei punti, e terminando con 
#. Oppure si compone un normale numero di telefono. 
dove occorre sempre il prefisso di chiamata internazionale ” 
(per l'Italia è 0039). Per chiamare in VolP un numero normale occor¬ 
re essere registrati presso un gateway a cui pagheremo il costo del¬ 
la chiamataSiccome Internet Switchboard è compatibile H.323, t 
possiamo anche chiamare un computer dove risponde qual- A 
cuno munito di NetMeeting. I programmi free di 
openh323.comeopenphoneoohphone,pos- 
sono comunque sostituire Internet 
Switchboard. 


di LineJack 


A Se si perdono pano li etti per strada, la trasmissione delle me tentata, 
la me paeket loss è ia più ternata dagli amministratori di rete. 


Un'altra scheda di Quicknet, Line- 
Jack, fornisce opzioni molto simili a 
quelle di LineJack e, in più, funziona 
anche come gateway. In un ipotetico 
server VolP la LineJack permettereb¬ 
be lo smistamento delle chiamate tra 
computer in rete. A questo scopo è 
però necessario scaricare il software 
MicroTelcoGateway, che si trova a 
http://www.quicknet.net/download/index.h 
tm. In un prossimo articolo affronteremo 
il setup concreto di reti VolP, prima mol¬ 
to semplici e poi progressivamente sem¬ 
pre più complicate. 

Nyarlathotep 


ftp://ftp.quicknet.net/Developer/Linux/Do 
cs/. Con un po’ di lavoro in più in fase di 
compilazione del codice, tutto il softwa¬ 


M icrosoft NetMeeting 
http://www.microsoft.com/win 
dows/netmeeting/ 

Net2Phone - http://www.net2phone.com/ 
DialPad - http://www.dialpad.com/ 
Software open source (per esempio 
GnomeMeeting e Ohphone nellambi- i 
L to del progetto OpenH323 - J 
http://www.openh323.org/ M 


La differenza 
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re open source dovrebbe funzionare 
anche su Mac OS X. A volte è già pron¬ 
to da scaricare, come a http://xmeeting. 


sourceforge.net/ o http://www,ioxperts. 
com/apps_osXvideo.html. 
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E n giro per la Rete si trova un sac¬ 
co di giochi in formato .blz, che 
apparentemente non possono fun¬ 
zionare sul nostro Nokia N-Gage. 
Ma non è esattamente cosi. Ecco le 
istruzioni per installare su N-Gage 
tutti i giochi che vogliamo! Dove parliamo 
di collegamento tra N-Gage e PÒ. parlia¬ 
mo di collegamento Bluetooth. Se per 
qualche motivo non è possibile, il colle¬ 
gamento via cavetto USB funziona ugual¬ 
mente. Per il resto non c’è problema. 


ce.com/) per scompattarli. Se il formato 
è .iso, il programma giusto è IsoBuster 
(http://www.smart-projects.net/isobu- 
ster/). Intanto scarichiamo il programma 
b_l_z.sis da http://users.skynet. 
be/FunkyG/N-Gage/Games/b_l_z.sis. 


Su Internet i giochi sono tutti compres¬ 
si in qualche modo e i file avranno 
estensione tipo .zip, .rar, .ace, .iso o 
altro. Usiamo WinACE (http://www.wina- 


Dopo avere collegato il cellulare al PC, 
trasferiamo il file .sis nella directory 
principale della scheda di memoria 
installata nel cellulare stesso e scolle¬ 
ghiamo. Premiamo il il tasto MENU, apria¬ 
mo la cartella TOOLS e apriamo MANA¬ 
GER. Apparirà un elenco dei file .sis instal¬ 
lati. Selezioniamo bj_z e premiamo il tasto 
di selezione a sinistra così da selezionare 
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OPTIONS. Scorriamo e tra le opzioni appa¬ 
rirà Instali. Selezioniamola e ripremiamo il 
tasto di selezione. Vedremo il messaggio 
Installation security warning. Unable to 
verify supplier. Continue anyway? e sele¬ 
zioniamo YES (certo che vogliamo instal¬ 
lare!). Un altro messaggio chiederà Instali 
b J_z? e ancora una volta la risposta sarà 
YES. Dobbiamo ancora selezionare Instali 
e dare l'OK. Il cellulare chiederà dove 
vogliamo installare. Scorriamo in basso 
fino a selezionare M. card. Usciamo dalla 
procedura con il tasto di selezione a destra. 


blzinstapp. A questo punto abbiamo 
inserito in N-Gage un installatore di gio¬ 
chi in formato .blz. Per trasferire i giochi 
veri e propri colleghiamo PC e cellulare 
e trasferiamo i file .blz nella directory di 
root della scheda di memoria, proprio 
come si è fatto prima. Scolleghiamo e 
apriamo blzinstapp. 

Ci troveremo dentro il gioco. Giochiamo¬ 
lo con il tasto di selezione ed esso inizie¬ 
rà a installarsi. È importante non inter¬ 
rompere la procedura in questo momen¬ 
to e lasciare che finisca. 

Al termine, il file .blz verrà cancellato 
automaticamente dalla scheda di memo¬ 
ria e il gioco comparirà regolarmente nel¬ 
l'elenco del tasto MENU. 


E tutto. Divertiamoci! 


Nell’elenco delle icone dovrebbe ora 
apparirne una nuova, con il nome di 


Reed LUright 
reeduiright@mail.inet.it 
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i siti ,it e vari altri registrar. All'indirizzo 
http://www.securiteam.com/security- 
news/Domain_Hijacking A step-by- 
step_guide.html è presente una guida 
dettagliata su come sferrare un attacco a 
un sito di esempio. 


Come proteggersi 


I nomi dei domini est- , 
Tìa numerica (come 

chi corrisponde?), m Per 

si è creato un meccanismo 

,n,e ' n 2Sf U Ss6St>e 3 «P*WS 

viene rinviato a un v gono peno- 

corretto. I serve ^S S i cambiamenti d. 
eticamente ^^ Sormaz-oni sono errate. 

informazione. Se le ’0^^ e ^ numer0 sba- 

al nome giusto cof spo //www . ne tsol 
gliato. NetworkSolutions^ n estQre dj nonl 

coni. 11 pm ve ^ C p ' an e internazionali, 
di dominio amene*™® italiano di 

»ur>. h«n //WWW.niC.lt. Il gei' 01 '' 


Se per 

esempio un gestore di domini accetta 
via email cambiamenti alle informazio¬ 
ni sul dominio, la mail dovrebbe viag¬ 
giare cifrata e autenticata via PGP, 
oppure dovrebbe esserci a disposizio¬ 
ne una pagina Web sicura per effettua¬ 
re i cambiamenti. Una delle soluzioni 
migliori emerse finora è DNSSEC. o 
DNS Security. Questo sistema combi¬ 
na crittografia a chiave pubblica con fir¬ 
ma digitale per autenticare chiunque 
chieda informazioni su un dominio. 
Dopotutto una mail falsa si mette insie¬ 
me in pochi istanti. Inoltre valgono 
sempre le solite raccomandazioni. Una 
password debole è meno protettiva, 
meglio una password robusta; con¬ 
trollare regolarmente con WHOIS 
che i dati relativi ai propri domini sia¬ 
no a posto; guardare le statistiche 
di accesso e vedere se c'è qualco¬ 
sa di strano, per esempio un crol¬ 
lo di visite improvviso e senza 
ragione. , 

Un DNS poisoning non causa • 
danni veri e propri e quindi, se Jf 
non si sta attenti, il rischio è che T 1 
nemmeno ce ne accorgiamo. Intan- I ’ 
to la gente va su un’altra pagina... * 


stono >o ' u ' 

17.112.152.32 a 
facilitarci le cose 
che li traduce 
www.iinux.org 1 
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miai/e software 
carta ili creato, 
liò le tratte "nel maio reale” 


I tipo pii^PWune di frode sulle 
carte di credito è quello, nessuno 
ci crederà, dei possessori! Un sac¬ 
co di gente falsifica i dati al momen¬ 
to della compilazione dei documen¬ 
ti oppure si dà da fare per farsi alza¬ 
re i limiti di spesa. Lobiettivo? Riuscire a 
spendere soldi che non si hanno vera¬ 
mente. A volte c’è un intento chiaro di fro¬ 
dare, a volte invece si tratta solo di per¬ 
sone incapaci di gestirsi. 


La frode in questo caso è particolare, 
ai danni non di un’utente ma di una 
banca. Esaminando i moduli di richiesta 
di una carta si scopre che non è così dif¬ 
ficile fornire storie e dati personali inven¬ 
tati. Il ladro spende, raggiunge il limite di 
spesa appena può e, al momento di rice¬ 
vere il conto, non si farà trovare (l'indiriz¬ 
zo sarà inventato o di altri, chiaro). Per 
ovvi motivi questa frode non funziona sul¬ 
le prepagate (o carte di debito). 


Sem¬ 
pre sul¬ 
lo stesso 
registro esi¬ 
ste il kiting. la 
tecnica di paga¬ 
re la carta di cre¬ 
dito con... un'altra 
carta di credito. È una 
tecnica che funziona solo 
per breve tempo e occasio- 














p„* »"«"/" n si/s me è siimi mi M*k 
Mi me ci » ma e anelli eee mutimi 0 HI 00» Is a0. 



fara resistenza, e 


nalmente. Come in una catena di San¬ 
t'Antonio, entro breve il cerchio 
magico si spezza. Molti posses¬ 
sori di carta cercano di con¬ 
testare gli acquisti. Se 
un acquisto viene 
contestato e 
risulta effet- 
t i v a - 


mente non autorizzato dal proprietario, 
quest'ultimo viene rimborsato. Difficile, 
però, che si possa fare a lungo. Un esem¬ 
pio tipico è il prelievo di denaro da un 
Bancomat via carta di credito (non serve 
la firma!), prelievo che poi viene conte¬ 
stato dicendo che non è mai avvenuto. 
Notizia per gli sprovveduti: sempre più 
spesso i Bancomat sono sorvegliati da 
telecamere. A volte la telecamera è 
nascosta dentro il Bancomat! Alla con¬ 
testazione del prelievo, la banca mostra 
il filmato dello stesso e il trucco muo¬ 
re.Ora cambiamo prospettiva e 
parliamo di frodi condotte da 
chi una carta ce l'ha, ma 
di un altro però. 


. Ida ogni tanto sbircia in un sito proibito. 


Un giorno si e lasciato tentare e con la carta 
credito ha pagato un abbonamento veramente da poco, tipo cinque dollari al mese, a 
un sito pornografico. Si è accorto presto che non vale la pena di spendere soldi su cose del 

genere e. vinto dalla noia, ha disdetto l’abbonamento. 
Dopo un po' però si è accorto che il sito faceva finta di 
niente e continuava ad addebitargli sul conto i famosi 
cinque dollari ogni mese. 

Aldo non si è perso d’animo: ha subito allertato la socie¬ 
tà emettitrice della carta e sono cominciati gli accerta¬ 
menti. Solo che II sito, apparentemente americano, face¬ 
va capo a una società-fantasma residente in un paradi¬ 
so fiscale sperduto nel Pacifico e non si trovava un 
responsabile vero. 

Aldo ha tenuto duro e alla fine ce l'ha fatta, ma ci sono 
voluti alcuni mesi. Ovviamente non era questione di sol¬ 
di (cinque dollari non sono neanche quattro euro), ma 
di principio, e questo è il trucco dei siti porno. Tantissi¬ 
ma gente ci casca e. un po' per pigrizia un po' per ver¬ 
gogna, sopporta e si rassegna al prelievo mensile. 

Ecco come fanno soldi i siti pomo. 


Le frodi degli altri 

Il modo più semplice per attaccare 
una carta di credito è recuperarne 

una. Come si può immaginare esiste un 
ricco mercato nero. Una delle frodi tipi¬ 
che è quella del buon samaritano. Ci 
rubano il portafogli o la borsetta e, man¬ 
naggia, anche la carta di credito. Un'ora 
dopo telefona qualcuno. "Ho trovato il suo 
portafogli... i soldi sono spariti, ma car¬ 
ta di credito e patente ci sono ancora. 
Purtroppo sto partendo proprio ora per 
un viaggio di lavoro, ma torno tra tre gior¬ 
ni e le riporto t^tto, tanto passo vicino a 
ufficio". Poteva andare 

_ ì peggio. Chi ci casca 
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I CESTINI 

delia merenda 


I l n buon hacker conosce l'arte del 
Udumpster diving: frugare nella spaz¬ 
zatura alla ricerca di informazioni. 


conoscono anche i ladri di carte di credito. 
Non possiamo fare niente per i cassetti dei 
negozi, dove i negozianti conservano gli 
scontrini senza prudenza alcuna. Per quan¬ 
to ci riguarda, invece, sempre distruggere 
gli scontrini. Contengono informazioni suf¬ 
ficienti a causare problemi. La spazzatura 
nel cestino può essere merenda appetitosa 
per un ladro. 


verrà denunciare immediatamente il fur¬ 
to. C’è caso che entro tre giorni arrivi sì 
la carta, ma quella nuova. 

Altre categorie di vittime: sbadati. Quel¬ 
li che si dim^||^^o di firmare la carta, 
e ci pensaposto loro. Sfigati. 
Quelli che «tfbanè la carta e il ladro 
capita in ne^^^^A la firma neanche 


la guardano. Nella carta di credito, la fir¬ 
ma è tutto. Talmente tutto che deve basta¬ 
re per l'acquisto. Quando la cassiera 
chiede il codice postale o un documen¬ 
to (in molti ipermercati succede), è giu¬ 
sto rifiutare gentilmente e se necessario 
chiedere di parlare con un responsabile. 
Se la cada di credito non sta in una lista 
accettata e punto. La 


Forse è un ladro. Aspetta che tiriamo 
fuori la carta per memorizzare nome, numero e scadenza 
intanto che paghiamo. Poi va su Internet e si mette a 
comprare roba. Difficile? Mica tanto. Si può, si può. 

Per le persone oneste, che non useranno le cono¬ 
scenze accumulate, è un bell’esercizio per allena¬ 
re la velocità di memorizzazione. Come difender¬ 
si? Esporre la carta il meno possibile, farsela dare 
dalla cassiera annoiata che ci si fa vento, appog¬ 
giarla sul bancone a testa in giù, che al massimo 
si veda la firma. 


firma andrebbe quindi sempre verificata 
e disgraziatamente numerosi negozian¬ 
ti non lo fanno. In un prossimo numero 
approfondiremo ulteriormente il tema. Nel 
frattempo, attenzione alle truffe... e ai 
truffatori. 


NeOkOn 

neOkan@hackerjournal.it 
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Q ualche malintenzionato vorrebbe conoscere il PIN del nostro 
bancomat. Essendo formato da quattro cifre, ci sono sola¬ 
mente 10 mila possibili combinazioni da provare, da 0000 a 9999, 
tra cui ovviamente c’è sicuramente quella giusta. Armandosi d 
pazienza il nostro malintenzionato potrebbe provarle tutte, digi¬ 
tandole sulla tastiera. In realtà, proprio per evitare gli attacchi bru- 
te-force, al terzo tentativo fallito la banca impedisce di provarne 
altri e, addirittura, ritira automaticamente la tessera che potrà esse¬ 
re recuperata solamente dal proprietario. 

Spesso il termine brute-force è utilizzato con II significato di 
metodo più rozzo e difficile". Perché nell'esempio del PIN abbia¬ 
mo considerato solamente quattro cifre, ma in pratica, per una 
cifratura adeguata, si possono usare per esempio chiavi a 128 bit, 
le cui combinazioni sono talmente tante che provarle tutte è una 
bella impresa. 

Viceversa l’attaccante potrebbe prima applicare un po' d'intelli¬ 
genza e cercar di capire se esistono modi più eleganti e facili di 
risolvere il problema. Una password sconosciuta, per esempio, 
potrebbe essere costruita sulla base del nome del proprietario, o 
seguendo logiche più o meno nascoste. Scoperta la logica, l’attac¬ 
co brute-force è automaticamente ridotto solamente a una picco- 
a parte di combinazioni possibili. 


Requisiti 


U n attacco brute-force è l’ultima risorsa e quindi II primo requisi¬ 
to è l'intuito, la logica e l'intelligenza. Dopo, e solamente dopo, 
se proprio l'attaccante non ha strumenti migliori può affidarsi ai pro¬ 
grammi che tentano tutte le combinazioni possibili di una data stringa I 
numerica, alfabetica o alfanumerica. Un esempio? Advanced Archive 
Password Recovery è un programma che riesce quasi sempre a recu¬ 
perare le password di archivi compressi come .zip. .rar e altri. 


tSannj» 

P rima di tutto usare sempre password di almeno otto caratteri. 
Completamente casuali Che r.nntpnnann eia Intiero rho mima 




! I completamente casuali, che contengano sia lettere che numeri, 

sia maiuscole che minuscole, ma anche simboli. 0 affidarsi a un 
generatore di password casuali. 

In rete sono recuperabili dei software di sicurezza per proteggere i 
login al server e alla root di diversi sistemi Limitare anche il numero 
di tentativi possibili prima che il sistema si rifiuti di proseguire o in 
modo tale da lasciare passare del tempo prima di poter effettuare un 
altro tentativo. Facendo perdere tempo all'attaccante e più è probabile 
che si rivolga altrove. Nei sistemi di crittografia usare quelli a gettone 
sempre variabile. 


LINK 

Un generatore di password casuali: 

http://www.accusolve.biz/mpwgen.html 


Uno strumento per il brute force attack ad archivi compessi di 




cui si è dimenticata la password: 

http://www.crackpassword.com/products/prs/integpack/archive/ 

(funziona con archivi: ZIP (PKZip, WinZip), ARJ/WinARJ, RAR/Win- 
RAR e ACE/WinACE (l.x)) 
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I CONTO fClMfN/TO Di 
.S on/A PeiLfOWA 

ATTTLAvENfO ALCiT- 
NTE CA*ATTE/L;m - 
CHE riflCHE. E* IL CACO DE Li-E 
impronte Digitali, CHE conto 
fPECinCHE PEt ClAfCON/O Di NTOl E 
Q.UINTDI PENMETTDN/0 Di IUCONTO- 
fCEMl. 

Noi rrtffi vti li Amo q.ooti- 
DiAntAmENTE DEI metodi Di PjCO- 
N/OfClMEN/TO IlOMETUCO.' PElL 
EfEMPlO GvAUiANTDOCl IN/ rACClA 
GLI UNTI CONT GU AL7TJ, 0 AfCOL" 
TAn/DO iLTIM»NO DELLA VOCE AL 
te LErowo. 


ESEMPIO 


L a biometria può riguardare parecchi aspetti della nostra per¬ 
sona. Tra i metodi di autenticazione utilizzati ci sono: 
il riconoscimento dell'iride, dei palmo della mano, delle impron¬ 
te digitali, della geometria della mano, della scrittura, della firma 
manuale, della voce, dell'odore, delle caratteristiche facciali, del 
DNA. 

La biometria quindi è basata su chi realmente siamo, non su ciò 
che possediamo (come la chiave dell’automobile, la carta di cre¬ 
dito ecc.) e nemmeno su ciò che conosciamo (come una pas¬ 
sword, un PIN, ecc.) 

Alcune caratteristiche biometriche sono più sicure di altre. La fir¬ 
ma, la scrittura, il timbro della voce, sono tutte caratteristiche che 
variano con il tempo o con le condizioni ambientali. Le impronte 
digitali sono più persistenti, salvo incidenti che ne alterino la qua¬ 
lità 

L’impronta dell’iride dell’occhio è molto promettente e uno dei 
metodi più sicuri. 



Requisiti 


I possono sperimentare dei sistemi di riconoscimento anche su 
proprio pc. 

Alparysoft VideoLock funziona sotto Windows e richiede una semplici 
webcam. Se il volto non è riconosciuto, non si ha accesso al sistema. 


Alparysoft VideoLock lo possiamo scaricare da: 

www.alparysoft.com/prod/videolock/index.php 


iSecurity 


L a biometria ha ancora molti passi da fare prima di essere consi 
derata una tecnica di riconoscimento sicura. Il riconoscimento 
del DNA è ormai accettato, ma non così i sistemi di riconoscimento 
automatico delle impronte digitali. Se le applicazioni non sono critiche, 
com può essere l'accesso al nostro pc. i sistemi in commercio sono 
ottimi Negli aeroporti e negli altri ambienti ad alta protezione stanno 
comparendo invece sistemi di riconoscimento facciale sofisticati, o 
apparecchi di riconoscimento dell’iride. 


Qui possiamo scaricare software di riconoscimento delle impronte 
digitali e programmi di riconoscimento facciale: 

www.neurotechnologija.com/download.html 
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BUON RUNCDI: 
LE RISPOSTE 


il cmicRENiCMn d anse di aLf dbcti esotici e piqciutd! 

_ ECCO COME E nNDDTD 


L’ 


J enigma era scritto in perfetto italia¬ 
no, ma con alfabeti runici. Le frasi 
erano le seguenti: 


PER UMANI: dove si possono trovare 
sul Web questi font? 

come si chiama questo alfa¬ 
beto? Che razza lo usa nel Signore degli 
Anelli? 

PER ELFI: come si chiama 
questo alfabeto? Che raz¬ 
za lo usa nel Signore degli 
Anelli? Conosci un sito che 
insegni a scrivere con que¬ 
sto alfabeto? 

PER PORTATORI DEL¬ 
L'UNICO ANELLO: come 
si chiama questo alfabeto? 

Sai ripetere l'iscrizione che 
stava sull'anello? Sai come 
è stata resa in italiano? 


La frase per umani era, 
beh, scritta in chiaro. Il font 
si chiama Ringbearer e si 
trova a http://simplythe- 


anello, diceva come si chiama questo alfa¬ 
beto? Sai ripetere l’iscrizione che stava 
sull'anello? Sai come è stata resa in ita¬ 
liano? L’alfabeto è sempre Tengwar. L'i¬ 
scrizione originale (questa era difficile!) 
recita ash nazg durbatulùk, ash nazg gim- 
batul, ash nazg thrakatulùk agh burzum- 
ishi krimpatul. In italiano è un anello per 
domarli, un anello per trovarli, un anello 
per ghermirli e nel 
buio incatenarli. 

Tutti i font sono gratui¬ 
ti e si usano tranquil¬ 
lamente su Windows, 
Linux e Mac OS X. 
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Le risposte! 
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ALTRI SITI 
CONSIGLIATI 

Da_Gemini Nero 

http://eldalie.it/download/Download_Font 
s.htm - font 

http://www.gis.net/~dansmith/fonts/index 

.html - font 

http://hem.passagen.se/mansb/at/ - font 
http://www.limes.com.pl/~miszka/ - font 
http://xoomer.virgilio.it/_XOOM/dco- 
mas/Ardalambion/qcourse.htm - corso di 
Quenya 

http://xoomer.virgilio.it/dcomas/Ardalam- 
bion/indice.htm - sito tolkieniano 
httpy/www.glyphweb.com/arda/s/sau- 
ron.html - Tengwar Annatar 

Qa_Buffer0verflow 

http://www.geocities.com/Heartland/Mea- 
dows/2488/pag2.html - alfabeti runici 

Da Pippo Piz za 

http://www.shadowofthering.net 

Sa-UAlexfl 

http://ardalambion.immaginario.net/AT/te 
ng_quenya.htm - corso di Quenya 
Ba-. .- (EaalE)'-. . - 

http://www.signoredeglianelli.org/down- 
loads.asp - font 
DifìarkLirik 

http://digilander.libero.it/ilfossodihelm/lin 

guaggi.htm 

Dj_M@rkfl1 

http://www.musicaecomputer.eom/fonts/i 
talianorune_-_fantasy 0006 .htm - font 
http://www.geocities.com/TimesSqua- 
re/4948/tengwar/ - Tengwar 
http://marconi.altervista.org/modit.html - 
alfabeti runici 
Ha Surf3r:. 




































Affari , 
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test scientifici a confronto 


dichiarando il prodotto migliore 


il migliore per qualità/prezzo 
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